Як повідомляється, 18 квітня 2026 року зловмисник скористався вразливістю у процесі випуску токенів rsETH від KelpDAO, призначених для ліквідного рестейкінгу, викравши, за оцінками, 280 мільйонів доларів або більше з мереж Ethereum та Arbitrum.
ZachXBT повідомляє про зловживання в KelpDAO на суму понад 280 млн доларів, яке зачепило ринки кредитування DeFi на Ethereum
АВТОР
ПОДІЛИТИСЯ
Основні висновки:
- 18 квітня 2026 року ZachXBT повідомив про крадіжку понад 280 млн доларів з протоколів DeFi Ethereum та Arbitrum.
- Вразливість у процесі випуску токенів rsETH від KelpDAO призвела до виникнення безнадійної заборгованості в Aave V3, внаслідок чого вартість токена AAVE впала приблизно на 10–13%.
- KelpDAO не підтвердило факт експлойту; аналітики відстежують шість виявлених гаманців зловмисників у пошуках підказок для відновлення коштів.
Зловживання в DeFi Ethereum: атака на rsETH від KelpDAO призвела до виведення понад 280 млн доларів
Дослідник ончейн-аналітики ЗакXBT опублікував перше попередження на своєму публічному каналі в Telegram незадовго до 15:00 за східним часом, вказавши шість адрес гаманців, пов'язаних з крадіжкою, та зазначивши, що гаманці зловмисників були поповнені через Tornado Cash до початку виведення коштів. У його дописі йшлося про збитки, що перевищують 280 мільйонів доларів у різних протоколах DeFi, без прямого згадування KelpDAO, але аналітики ончейн-аналітики пов'язали ці адреси протягом кількох годин.
«Здається, що годину тому з KelpDAO на Ethereum та Arbitrum було викрадено понад 280 мільйонів доларів», — написав ZachXBT. «Адреси зловмисників були поповнені через Tornado Cash».
Атака відбулася за добре відпрацьованим сценарієм. Згідно з повідомленнями, зловмисники, ймовірно, скористалися недоліком у логіці випуску rsETH, створивши великий обсяг ліквідного токена рестейкінгу без надання належного забезпечення. Цей завищений rsETH потім був розміщений на кредитних ринках Aave V3 як на Ethereum, так і на Arbitrum, де зловмисник позичив значні суми ETH та інших активів під його заставу.
Як тільки застава була визнана безвартісною, ці позиції залишили Aave з безнадійною заборгованістю. За оцінками спільноти, загальні збитки склали від 100 до приблизно 293 мільйонів доларів, що еквівалентно приблизно 116 500 ETH за поточними цінами.
Ціна AAVE різко впала після появи цієї новини. Ринкові дані показують падіння на 10–13% протягом кількох годин після первинного сповіщення, оскільки ринок оцінював потенційний ризик безнадійної заборгованості у всіх кредитних пулах протоколу.
Ліквідні токени рестейкінгу, такі як rsETH, глибоко вбудовані в компонуваність DeFi. Вони приймаються як застава на декількох кредитних ринках одночасно, що означає, що експлойт з випуску монет може швидко поширити збитки по платформах. Інцидент з KelpDAO безпосередньо ілюструє цей ризик.
Гаманці зловмисників, перелічені ZachXBT, містили великі позиції ETH на Aave та Compound. За повідомленнями, лише одна адреса на момент виявлення містила приблизно 120 мільйонів доларів у ETH на Aave. Кошти були швидко переміщені після виведення коштів.
Використання Tornado Cash для попереднього фінансування операційних гаманців перед атакою є стандартною тактикою для зловмисників, які намагаються приховати джерела походження коштів. Це не вказує на нову техніку, але підтверджує, що операція була навмисною та спланованою.
Станом на приблизно 15:00 за східним часом 18 квітня KelpDAO не опублікувало офіційної заяви чи аналізу подій. Спільнота стежила за акаунтом проекту в X та вебсайтом у пошуках відповіді, а також за каналами управління Aave на випадок будь-яких екстрених заходів.
На момент написання статті компанії з безпеки DeFi, зокрема Peckshield, Slowmist та інші, ще не опублікували детальних аналізів, що свідчить про стрімкий розвиток подій. ZachXBT не опублікував у публічних каналах подальшого допису, в якому б конкретно згадував KelpDAO, але збіг адрес чітко вказав на це.
Злом протоколу Drift у 2026 році: що сталося, хто втратив гроші та що буде далі
1 квітня 2026 року протокол Drift Protocol зазнав збитків на суму 286 млн доларів у результаті 12-хвилинного злом DeFi-платформи Solana, пов’язаного з діями зловмисників із КНДР, які використовували підроблені застави та методи соціальної інженерії. read more.
Читати
Злом протоколу Drift у 2026 році: що сталося, хто втратив гроші та що буде далі
1 квітня 2026 року протокол Drift Protocol зазнав збитків на суму 286 млн доларів у результаті 12-хвилинного злом DeFi-платформи Solana, пов’язаного з діями зловмисників із КНДР, які використовували підроблені застави та методи соціальної інженерії. read more.
ЧитатиЗлом протоколу Drift у 2026 році: що сталося, хто втратив гроші та що буде далі
Читати1 квітня 2026 року протокол Drift Protocol зазнав збитків на суму 286 млн доларів у результаті 12-хвилинного злом DeFi-платформи Solana, пов’язаного з діями зловмисників із КНДР, які використовували підроблені застави та методи соціальної інженерії. read more.
Цей інцидент не пов'язаний з експлойтом Drift Protocol, про який вперше повідомило Bitcoin.com News 1 квітня 2026 року, під час якого було викрадено приблизно 280 мільйонів доларів, переважно на Solana, перш ніж USDC було переведено на Ethereum через CCTP. Механізми, ланцюги та часові рамки є різними.
Членам спільноти радили тим, хто має rsETH або пов'язані позиції на Aave, Compound чи інших ринках кредитування, переглянути свої ризики, поки ситуація залишається невирішеною.
Шість гаманців зловмисників, ідентифікованих ZachXBT, залишаються активними цілями для відстеження в ланцюжку, оскільки аналітики працюють над тим, щоб з'ясувати, куди перейшли кошти після виходу з Aave.
